none
VMM S2S IPSec RRS feed

  • Вопрос

  • Добрый день!

    Есть VMM 2012 R2.

    Нужно сделать S2S IPSec с внешней сетью.

    В данной статье https://blogs.technet.microsoft.com/larryexchange/2016/06/01/step-by-step-for-deploying-a-sdnv2-using-vmm-part-4/ это Test Case 4: S2S IPSec connection.

    Вопросы начинаются с пункта "Now go to the Enterprise Gateway VM. In my case, I used an existing Windows Server 2012 R2 RRAS VM."

    То есть, перехожу на свой VM-шлюз, а там

    Хорошо, пробую создать при помощи POS.

    Много параметров перепробовал - постоянно ошибка. Такое чувство, что чего-то я не допонял.

    Кто сталкивался - дайте дельный совет.

    30 января 2017 г. 8:30

Ответы

Все ответы

  • Привет,

    А если попробуете через GUI как описано в статье?

    Так как я вижу, у Вас PS ругается на отсуствие routingDomain при Add-VpnS2SInterface

    Add-VpnS2SInterface

    PS C:\> Add-VpnS2SInterface -RoutingDomain Rd_001 -Name "Blue-Tunnel-2" -Protocol IKEv2 -Destination 100.0.0.7 -Auth


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    31 января 2017 г. 8:04
    Модератор
  • Добрый день, Petro!

    Пробовал и эту команду, всё равно, что-то не так...

    31 января 2017 г. 8:20
  • Как я понимаю, вы используете HNVGRE шлюз и NetworkService. В таком случае надо создавать VPN через командлет Add-SCVPNConnection:

    https://technet.microsoft.com/ru-ru/library/jj647692(v=sc.20).aspx

    Так же вы можете добавить в инфраструктуру Windows Azure Pack. Тогда администраторы тенантов сами смогут настраивать VPN через веб портал.

    31 января 2017 г. 9:41
  • Добрый день, Artem!

    Да, использую HNVGRE шлюз.

    С этой командой сложностей ещё больше, она просто не опознана.

    31 января 2017 г. 9:59
  • "Add-SC*" намекает, что выполнять ее надо на сервере, где установлена оснастка SCVMM :)
    31 января 2017 г. 10:03
  • Так.

    Видимо, уже "наелся" я этим всем. 

    Спасибо за уточнение. -)

    31 января 2017 г. 10:07
  • При выполнении команды на сервере VMM, получаю ошибку.

    В качестве параметра -VMNetworkGateway использую FQDN GatewayVM.

    Может быть что-то другое сюда надо прописать? А то в описании команды особо не ясно.

    31 января 2017 г. 10:55
  • Да, тут должен быть объект. Например  $GW:

    $VMnetwrok=Get-SCVMNetwork -Name  VMNetworkMy
    
    $GW = Get-ScVmNetworkGateway -VmNetwork $VMnetwork


    31 января 2017 г. 11:02
  • Ага, понял.

    Этот параметр прошёл.

    Но теперь он просит параметр -Secret в таком же формате.

    Попытался разобраться, а у меня командлета Get-ADUser нет не сервере VMM.

    Опять прошу помощи

    31 января 2017 г. 13:14
  • Либо через Invoke-Command, либо добавить оснастку:

    add-windowsfeature rsat-adds

    31 января 2017 г. 13:49
  • Что-то я напутал...там нужен был командлет Get-SCRunAsAccount.

    В общем, вроде все параметры подошли, но получил занятную ошибку:

    Error (21426)
    Execution of Microsoft.SystemCenter.NetworkService::NewVPNConnection on the configuration provider хххх779 failed. Detailed exception: Microsoft.VirtualManager.Utils.CarmineException: Unable to add or remove VPN connection to the Remote Access server. (The specified VPN target IP already used by another VPN connection on the Remote access gateway.
    Don't use duplicate target IP addresses for VPN connections with preshared keys authentication.) 
    Fix the issue in Remote Access server and retry the operation.

    Recommended Action
    Check the documentation for the configuration provider or contact the publisher support.

    В итоге получилось, что какое-то соединение уже использует мой целевой IP.

    Но как, если я его не сделал?

    Подскажите, пожалуйста, командлет, чтобы посмотреть текущие VPN-соединения на шлюзе.

    Может мне вообще не надо всем этим в PoS заниматься и достаточно только настрое к VMM?

    31 января 2017 г. 14:10
  • Посмотреть текущие VPN можно командлетом Get-VpnS2SInterface.

    Если хотите иметь возможность настраивать IKEv2 без PS - то тогда разворачивайте Windows Azure Pack и настраивайте тенанты.

    Что вы указали в TargetIpV4VPNAddress? Должен быть IP удаленного сервера.

    31 января 2017 г. 14:50
  • Get-VpnS2SInterface ничего не выводит.

    Если не сложно, дайте ссылки на статью по настройке Azure Pack и где его скачать.

    TargetIpV4VPNAddress указал IPадрес удалённого сервера, точнее у меня там железка стоит, с возможностью настройка VPN-канала.

    31 января 2017 г. 15:10
  • Рано сдаваться :) Статью по WAP ищите на technet. Увы, она не одна. Надо будет дополнительно поднять SC SPF ну и разобраться с логикой работы WAP в целом. Это вариант не сильно быстрый. Просто держите в уме :)

    Покажите скриншоты с настройками VM Network, для которой создаете VPN. 

    Еще проверьте, чтобы все значения были пустыми для:

     Get-SCVMNetwork | ft Name, VPN*

    31 января 2017 г. 19:11
  • Добрый день!

    Пока не сдаюсь )

    Понял на счёт WAP. Тогда пока с ним связываться не буду, а то совсем запутаюсь.

    Настройки VMNetwork

    Вывод команды Get-SCVMNetwork | ft Name, VPN* даёт все пустые поля, кроме той сети, для которой я пытаюсь сделать VPN.

    1 февраля 2017 г. 8:31
  • Ок, можно попробовать удалить этот VPN. Заодно приложу пример с настройками. Обратите внимание, что должна быть для ikev2 аутентификация PSK.

    1 февраля 2017 г. 8:55
  • Кстати я ошибся, можно настроить и в GUI (как тут видим). Вот только есть сомнения по поводу Direct Routing. Возможно S2S VPN получится настроить только вместе с NAT.
    1 февраля 2017 г. 8:57
  • На сколько я понял, если использовать nat, то это немного не то.

    В настройках NAT у меня появляется другой внешний IP, отличный от внешнего IP в настройках VPN.

    И там же в настройках NAT, я могу уже делать правила трансляции, которые будут применяться к этому внешнему IP.

    Вроде как не совсем S2S получается.

    Поправьте меня, если я ошибаюсь.

    1 февраля 2017 г. 9:38
  • Все верно, NAT и VPN это совершенно разные технологии. Просто я не уверен, что S2S ikev2 будет корректно создаваться при активированном direct routing. Проверить увы, негде.
    1 февраля 2017 г. 11:27